Als Softwareentwickler Eric Butler vor einigen Jahren das Tool Firesheep veröffentlichte, mit dem sich unverschlüsselte Verbindungen ausspionieren und die Accounts Dritter übernehmen ließen, sorgte dies zunächst für einen Sturm der Entrüstung. Schlussendlich erwies sich dieser Schritt aber als positiv, erhöhte er doch den Druck auf Servicebetreiber, eine vollständige Verschlüsselung der Datenübertragung vorzunehmen.

Mobile Schwächen

Doch während dieser Schritt von vielen Anbietern im Web längst vollzogen wurde, scheint so mancher Hersteller bei mobilen Apps wesentlich weniger sorgsam zu agieren. Aktuellstes Beispiel: Instagram. Wie Entwickler Steve Graham aufdeckt, überträgt die iPhone-App des Services nämlich den Großteil der Informationen unverschlüsselt, Dritte haben mittlerweile bestätigt, dass die Android-Version das selbe Verhalten zeigt.

Session Cookie

Wer sich im selben lokalen Netzwerk aufhält - beispielsweise in einem öffentlichen WLAN - kann das Session Cookie abfangen, und damit Zugriff auf den betreffenden Account erhalten. Damit lassen sich dann etwa Photos posten, Kommentare abgeben oder andere Manipulationen vornehmen.

Stellungnahme

Von Seiten des Instagram-Besitzers Facebook heißt es dazu, dass man sich dieses Problems bewusst sei, und bereits an einer vollständigen Verschlüsselung der Datenverbindungen arbeite. Einen Zeitrahmen für ein entsprechendes Update will man aber nicht nennen.

Warnung

Unterdessen spielt Graham mit dem Gedanken in Form von Instasheep ein Firesheep-ähnliches Tool zu veröffentlichen, das das Abgreifen von Session Cookies einfach machen würde. Dies würde wohl den Druck auf den Softwarehersteller weiter erhöhen. (apo, derStandard.at, 30.7.2014)